Ransomware Petya: Neuer Angriff, alte Probleme

Petya: Neuer Angriff, alte Probleme

Was Unternehmen gegen Ransomware-Attacken tun können – und was nicht

Keyfacts über Petya

  • Neuer Cyberangriff betrifft auch AKW Tschernobyl
  • Attacke ist professioneller als vergangene Angriffe
  • Unternehmen brauchen Cyber-Sicherheits-Strategie
Zusammenfassung lesen

Und täglich grüßt das Murmeltier, könnte man meinen beim Blick auf die neue Ransomware-Attacke, die dieser Tage für Aufsehen sorgt. Gerade einmal sechs Wochen ist es her, dass der Erpressungstrojaner WannaCry nach Europol-Schätzungen weltweit rund 200.000 Rechner in mehr als 150 Ländern infizierte. Dass WannaCry damals nicht mehr Schaden verursachte, ist wohl letztlich eher einem glücklichen Zufall als der strategischen Absicherung in den angegriffenen Computersystemen zu verdanken gewesen.

Und nun also Petya – die jüngste Variante einer Schadsoftware, die seit Dienstag weltweit Computer lahmlegt. Die bisherigen Opfer befinden sich insbesondere in Russland und der Ukraine, wo beispielsweise mit dem Atomkraftwerk Tschernobyl auch sogenannte kritische Infrastruktur betroffen war. Eine Folge des Angriffes: Der Computer zur Messung der Kerntemperatur fiel aus, woraufhin diese manuell gemessen werden musste. Mit anderen Worten: Ransomware-Attacken sind hochgradig gefährlich – und das nicht nur für die direkt angegriffenen Unternehmen, sondern auch für die Allgemeinheit. Umso dringender stellt sich vor diesem Hintergrund die Frage, warum Attacken dieser Art nicht energischer bekämpft werden?

Trojanerangriffe werden effizienter

Das gilt umso mehr, als dass auch Petya nach aktuellem Kenntnisstand keineswegs ein neuer Trojaner ist. Stattdessen tauchte bereits im März 2016 – also vor mehr als einem Jahr – eine ähnliche Schadsoftware auf. Das Muster ist immer ähnlich: Ein Virus befällt die Software, verschlüsselt die Daten und gibt sie erst frei, nachdem eine entsprechende Lösegeldzahlung – meist in Kryptowährungen wie beispielsweise Bitcoins – auf den Konten der Erpresser eingegangen ist.

Aber natürlich gibt es auch Weiterentwicklungen in Angriffsmuster und Zielsetzung, vor allem gemessen an der WannaCry-Attacke von vor wenigen Wochen. Schien es den Angreifern damals primär um klassische Erpressung mit Lösegeldforderung zu gehen, zielen die Entwickler von Petya augenscheinlich auf größtmögliches Chaos ab. Und sie machen sich dabei offenbar dieselbe Sicherheitslücke zu Nutzen, von der auch WannaCry und Geheimdienste profitierten, wenn sie unbemerkt fremder Menschen Rechner infiltrieren wollten.

Anders als in der Vergangenheit gibt es diesmal Indizien dafür, dass sich die Schadsoftware nicht ausschließlich über sogenannte Phishing-Mails verbreitet hat, bei denen Mitarbeiter unbedacht auf Mailanhänge klicken und dem Trojaner damit unbeabsichtigt die Tür zur Unternehmens-IT weit aufstoßen. Stattdessen gelangte der Virus offenbar auch in Form eines Software-Updates in die betroffenen Unternehmen. Und besonders besorgniserregend: Einmal dort angelangt, nutzte er zur internen Verbreitung unter anderem ein gängiges Administrations-Werkzeug. Ein raffinierter Angriff, bedeutend raffinierter als WannaCry vor einigen Wochen. Im Klartext bedeutet das: Auch Systeme auf dem neuesten Stand der Technik können – zumindest nach erfolgreicher Erstinfektion eines Systems im Netzwerk – befallen werden.

70

Prozent der deutschen Unternehmen sind bereits einmal Ziel einer Cyber-Attacke geworden.

Einmal mehr lautet die Frage nun also: Was können Unternehmen tun, um sich vor Angriffen zu schützen beziehungsweise nicht schutzlos dazustehen, wenn sich die Angreifer bereits eingenistet haben? Kurzfristig führt weiterhin kein Weg daran vorbei, unbekannte Datenanhänge nicht zu öffnen beziehungsweise die unternehmenseigene IT-.Sicherheit zu informieren, sobald ungewöhnliche Datenanhänge das eigene Haus erreichen. Um die interne Verbreitung zu stoppen, sollte mit den entsprechenden Einstellungen das automatische Neustarten der Rechner untersagt werden. Knapp gesagt: Stecker ziehen verhindert, dass Trojaner intern sickern können.

Unternehmen brauchen Cyber-Sicherheits-Strategie

Langfristig gilt das, was für die 70 Prozent der deutschen Unternehmen gilt, die bereits einmal Ziel einer Cyber-Attacke waren: Sie brauchen eine Cyber-Sicherheits-Strategie, ausgehend von der Risikoerkennung über das entsprechende Set an Abwehrmaßnahmen bis hin zur durchgehenden Überwachung. Auf diese Weise kann auch den steigenden regulatorischen Anforderungen begegnet werden, die immer höhere Ansprüche an die unternehmenseigene IT-Sicherheit stellen.

Schließlich kostet es keinen besonderen Mut, weitere Cyber-Angriffe in nächster Zeit zu prognostizieren. Eine ideale Vorbereitung ist vor diesem Hintergrund wichtiger denn je, denn die grundsätzliche Schwachstelle dürfte auch weiterhin bestehen bleiben: Sicherheitslücken sind in manchen Fällen vom Gesetzgeber durchaus erwünscht. So ist es eher eine bittere Note als ein positiver Ausblick, dass der Bundestag vor einigen Tagen den Einsatz sogenannter Staatstrojaner zur Überwachung mutmaßlicher Krimineller erlaubt hat.

Dabei wird eine Überwachungssoftware auf Rechnern eingeschleust, mit der die Ermittler beispielsweise verschlüsselte Nachrichten mitlesen können. Der Treppenwitz dabei: Vom Grundmuster unterscheiden sich Ermittlungsbehörden hier nicht von Cyberkriminellen. Anders gesagt: Zum Wesen einer Geheimtür gehört es, dass sie jeder benutzen kann, der ihren Standort kennt. Wer das verhindern will, muss sie zumauern.

29. Juni 2017
Zusammengefasst

»Vom Grundmuster unterscheiden sich Ermittlungsbehörden nicht von Cyberkriminellen: Beide nutzen bestehende Sicherheitslücken, um sich Zugriff auf fremde Computer zu verschaffen. Diese Sicherheitslücken zu schließen, ist deshalb politisch mitunter gar nicht gewünscht.«

Der jüngste Trojanerangriff Petya ähnelt vorherigen Attacken. Dabei ist er weitaus gefährlicher für Unternehmen und die Allgemeinheit. Zeit zum Umdenken.

Michael Falk Partner, Cyber Security
Ganzen Artikel lesen

Kommentare

Wie schützen Sie Ihr Unternehmen vor Cyber-Angriffen?

Kommentar von Dipl.Ing.Ing. Bernd Letz
19. August 2017 | 02:44 Uhr

Sehr geehrter Herr Michael Falk, was das Grundmuster angeht, sind Sie leider im Irrtum, denn: a) Die Cyber-Kriminellen müssen ihre Aktionen vor den Augen und den Logs der Geheimdienste, Nationsverwaltungen und deren Dienstleister tun. Das heisst, es bleiben Spuren die nicht beseitigbar sind zurück, egal wie klein diese auch sein mögen. b) Die Gegenparteien, oben Benannte, haben die Möglichkeit, selbst diese Spuren, per Inhousebefehl, beseitigen zu lassen oder ganz gezielt mit einem Angriff sogar eine Diskreditierung einer zusätzlichen Dritten Konstruktion / Person, mit durchführen zu können, um weniger selbst an den Pranger gestellt zu werden. c) Dann wären noch die (IT, Cyberwar, PatriotActs, Freeman Acts, Strafrecht usw.) Rechtlichen Aspekte, die den unter (von / mit) b) Agierenden separat einen Schutz zukommen lassen, welchen der Cyberkriminelle nicht hat. d) Der Cyberkriminelle ist meist sogar schon mit dem Werkzeugbesorgungs- oder -Kaufaspekt längst als ein Verdächtiger aufgeflogen - wird aber tätig gelassen, als später (auf Vorrat zu präsentierender (CyberWar-) Straftäter / -Terrorist). Sicherheit ist eine Illussion, die man immer noch als eine heilige Religion verkaufen möchte, ohne zu erkennen, das der Gott dieser Religion und seine Messiase längst nicht mehr existent sind. Der Onlinehandel ist gerade am sehr leidverbundenen und sehr schmerzhaften sammeln dieser Wissens-Erkenntnis. Danke und mit freundlichen Grüßen verbleibend Dipl.Ing.Ing. Bernd Letz - IT'ler und Fragenforscher

Kommentar von Michael Falk
29. Juni 2017 | 08:46 Uhr

Dazu die Informationen über mögliche Gegenmaßnahmen: https://klardenker.kpmg.de/schuetzen/cyber-security/petya-ransomware-11-schritte-die-ihnen-jetzt-helfen/ Zusammengetragen aus den Erfahrungen unserer global organisierten IT-Forensiker!

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen